Android 16 Jan
O famoso plugin Social Network Tabs, que viabiliza o compartilhamento de conteúdo do WordPress nas redes sociais, virou uma ferramenta preocupante para os usuários do Twitter.
Instalado em milhares de sites, o plugin estava armazenando tokens de acesso à conta no código-fonte do site no WordPress, deixando uma brecha para qualquer pessoa coletar informações sigilosas.
Estes tokens de acesso são o que deixam as pessoas conectadas ao site, seja pelo computador ou celular, sem a necessidade de uma senha para iniciar cada sessão.
A falha foi descoberta pelo pesquisador francês Baptiste Robert – o mesmo especialista em segurança da informação que descobriu a falha no ES File Explorer no Android na última semana –, que encontrou através de testes com o mecanismo do código-fonte PublicWWW, 539 sites baseados no código.
Mais de 400 contas atreladas ao Twitter usavam tokens de acesso. Com todos os tokens coletados, Robert descobriu que poderia ter controle total sobre as contas do Twitter, incluindo perfis verificados com milhares de seguidores.
O Twitter foi notificado sobre a vulnerabilidade no início de dezembro, com tempo para revogar as chaves e torná-las seguras de novo.
Cada usuário afetado foi notificado pela rede social. No mais, é recomendado que qualquer usuário do WordPress que tenha o plugin instalado faça a sua remoção imediatamente, altere a senha do Twitter e garanta que o aplicativo seja removido da lista de programas conectados ao serviço para invalidar o token.
A Design Chemical, desenvolvedora do plugin, por ora não respondeu aos contatos e não se manifestou a respeito da vulnerabilidade.
A última atualização do plugin foi em 2013, sem qualquer revisão na segurança desde então.
Comentários